程序博客网 > 软件销售代理商

xss漏洞和csrf漏洞防御

来源:互联网 发布:软件销售代理商 编辑:程序博客网 时间:2024/05/01 09:46

xss防御:

1、尽量少将域名的domain设为域名的根下面,减少分站xss漏洞对主站的影响;

2、对输入的数据进行过滤检查:

  1. public static String htmlSpecialChars(final String s) { 
  2.       String result = s; 
  3.       result = regexReplace("&", "&", result); 
  4.       result = regexReplace("\"", """, result); 
  5.       result = regexReplace("<", "&lt;", result); 
  6.       result = regexReplace(">", "&gt;", result); 
  7.       return result; 
  8.   } 

注意:CSS的行为方式也会有JavaScript的执行:

<style type="text/css" >
#content { height: expression(alert('test xss') ); }
</style>

如果要支持html可以使用这个过滤器(附件,开源的)

  1. 例子 
  3. final ArrayList<Attribute> span_atts = new ArrayList<Attribute>(); 
  4. Map<String, Pattern> allowedAttrValues = new HashMap<String, Pattern>(); 
  5. allowedAttrValues.put(“color”, Pattern.compile(“(#([0-9a-fA-F]{6}|[0-9a-fA-F]{3}))”)); 
  6. allowedAttrValues.put(“font-weight”, Pattern.compile(“bold”)); 
  7. allowedAttrValues.put(“text-align”, Pattern.compile(“(center|right|justify)”)); 
  8. allowedAttrValues.put(“font-style”, Pattern.compile(“italic”)); 
  9. allowedAttrValues.put(“text-decoration”, Pattern.compile(“underline”)); 
  10. allowedAttrValues.put(“margin-left”, Pattern.compile(“[0-9]+px”)); 
  11. allowedAttrValues.put(“text-align”, Pattern.compile(“center”)); 
  12. span_atts.add(new Attribute(“style”, allowedAttrValues)); 
  13. vAllowed.put(“span”, span_atts); 
  16. final ArrayList<Attribute> div_atts = new ArrayList<Attribute>(); 
  17. div_atts.add(new Attribute(“class”)); 
  18. div_atts.add(new Attribute(“align”)); 
  19. vAllowed.put(“div”, div_atts); 
  21. * 2. 调用类似这样的函数String outHtml = HetaoBlogXssHTMLFilter.filter(sourceHtmlString); 

3、针对图片的上传需要检测是否是正确的图片格式是否是伪格式 ,图片服务器尽量不开启程序(java,php,.net)功能或对图片格式不做程序解析;

防御CSRF:

    在Web应用程序侧防御CSRF漏洞,一般都是利用referer判断输入端的url来源、或使用token或者使用JavaScript看不见的验证码;

本文出自 “林清杨--技术博客” 

软件销售代理商 软件销售代理商
原创粉丝点击
热门IT博客
it累吗it累吗
resident evil 6淘宝resident evil 6淘宝
js冒泡事件
域名和备案
数据库查询结果排序
架子鼓鼓谱制作软件
蓝月战魂进阶数据
矩阵有没有分配律
淘宝店铺升级专业版
ubuntu网络连接不上
淘宝美工店铺装修教程
php 打包文件夹 成zip
java 日志重定向
windows系统是什么
海康网络键盘1600k
国外手机壁纸软件
cad网络面板图标
古典音乐发展史知乎
sqlyog软件使用方法
waifu2x caffe
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 个股诊断 个股推荐 个股分析 个股解析 个股介绍 002797个股行情 千股千评个股诊断 高送转个股一览 个股智能点评 有关个股的探讨和交流 免费个股诊断网站 个股走势查询 个股是什么意思 个股期权合法吗 连续涨停个股 个股什么意思 千股千评个股点评 股票尾盘拉升说明什么 银行股 怎样看股票k线图 经传软件 767股票学习网 黑马股 明天股票预测 低估值股票 自选股 充电桩龙头股 股评网 股票一手多少股 中国软件股票 原始股票 新三板股票查询 股票技术分析书籍 股票多少股为一手 推荐股票 股市战法大全 股市成交量 股票增发是好是坏 优质股票推荐 股票咋玩 股票投资收益

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里